Privacywet | Meldplicht Datalekken

Per 1 januari 2016 is de huidige Wet bescherming persoonsgegevens (Wbp) uitgebreid met de Meldplicht Datalekken. In deze wet krijgt de Autoriteit Persoonsgegevens  zelfstandig de bevoegdheid een bestuurlijke boete op te leggen bij overtreding van regels van maximaal € 820.000,- of 10% van de wereldwijde omzet.

Europese Privacyverordening GDPR

Reeds in 2012 heeft de Europese Commissie een voorstel ingediend voor een nieuwe Europese Privacyverordening. Een verordening is onmiddellijk bindend voor alle lidstaten en hoeft in tegenstelling tot een Europese richtlijn niet omgezet te worden in Nationale wetgeving. Onze Nationale privacywetgeving is onderliggend aan Europese wetgeving (General Data Protection Regulation). Een van de uitgangspunten in deze nieuwe verordening is het principe van ‘privacy by design’. Van overheid en bedrijfsleven wordt verwacht dat zij bij de ontwikkeling en toepassing van (nieuwe) diensten en producten rekening houden met eventuele privacy risico’s voor gebruikers.

Extra dimensie voor organisaties, bedrijven en overheden

Deze Meldplicht Datalekken en de GDPR zullen een hele nieuwe fase inluiden in de bewustwording van cyberrisico’s. Organisaties zijn immers tot nu toe geneigd om bij iedere datalek vooral zo weinig mogelijk publiciteit hieraan te geven vanwege een reële reputatie / imagoschade. Door de meldplicht zal aan veel meer incidenten ruchtbaarheid moeten worden gegeven.

Compliance

Compliance wordt een zeer belangrijk hoofdstuk. De eerst logische reactie van een organisatie om het datalek intern te houden is niet meer aan te raden. Onverwijld (er wordt een termijn genoemd van maximaal 72 uur voor onderzoek) moet de organisatie - gekwantificeerd en gekwalificeerd - de Autoriteit en soms ook de betrokkenen informeren over welke data gelekt zijn en wat de organisatie hier voor maatregelen treft. De verantwoordelijke moet in ieder geval in kaart brengen:

  • Welke privacy gevoelige data wordt verwerkt
  • De classificatie van deze privacy gevoelige data
  • Of de privacy gevoelige data wettelijk mag worden verwerkt
  • Waar de data wordt opgeslagen en welke afspraken er zijn gemaakt
  • Wat de impact is van verlies / lekken / diefstal / misbruiken van de informatie voor alle betrokkenen

Privacy Impact Assessment

De verantwoordelijke heeft de mogelijkheid om via CYCO een privacy impact assessment te laten uitvoeren. Alle bovenstaande vragen worden door ons samen met u geanalyseerd en beoordeeld. We geven u advies over mogelijk te nemen maatregelen en helpen u bij de implementatie. Dan kunt u aantonen dat u de privacy gevoelige data in uw organisatie serieus neemt en voorkomt u torenhoge boetes. Lees hier meer over onze Privacy Impact Assessment.

 

Staatscourant - juridisch kader Meldplicht Datalekken

 

Beleidsregels Meldplicht Datalekken - Autoriteit Persoonsgegevens